یک برداشت کننده اعتبار مبتنی بر پایتون و یک ابزار هک به نام Legion از طریق تلگرام بهعنوان راهی برای عوامل تهدید برای نفوذ به سرویسهای آنلاین مختلف برای بهرهبرداری بیشتر به بازار عرضه میشود.
طبق گفتههای Cado Labs، Legion شامل ماژولهایی برای شمارش سرورهای آسیبپذیر SMTP، انجام حملات اجرای کد از راه دور (RCE)، بهرهبرداری از نسخههای اصلاحنشده آپاچی، و حسابهای cPanel و WebHost Manager (WHM) است [۱].
گفته میشود که این بدافزار شباهتهایی به خانواده بدافزار دیگری به نام AndroxGh0st دارد که اولین بار توسط ارائهدهنده خدمات امنیت ابری Lacework در دسامبر ۲۰۲۲ ثبت شد [۲].
شرکت امنیت سایبری SentinelOne، در تحلیلی[۳] که اواخر ماه گذشته منتشر شد، فاش کرد که AndroxGh0st بخشی از مجموعه ابزار جامعی به نام AlienFox است که به عوامل تهدید برای سرقت کلیدها و اسرار API از سرویسهای ابری ارائه میشود.
Matt Muir، محقق امنیتی به The Hacker News دراینباره گفت: «به نظر میرسد که Legion بخشی از نسل نوظهور ابزارهای جمعآوری اعتبار/هرزنامه متمرکز بر ابر است. توسعهدهندگان این ابزارها اغلب کد یکدیگر را میدزدند و درنتیجه نسبت دادن به یک گروه خاص را دشوار میکنند.»
علاوه بر استفاده از تلگرام بهعنوان نقطه استخراج داده، Legion برای بهرهبرداری از سرورهای وب که دستگاههای مدیریت محتوا (CMS)، PHP یا فریمورکهای مبتنی بر PHP مانند لاراول را اجرا میکنند، طراحی شده است.
Cado Labs دراینباره گفت: “این میتواند اعتبار طیف گستردهای از خدمات وب مانند ارائهدهندگان ایمیل، ارائهدهندگان خدمات ابری، دستگاههای مدیریت سرور، پایگاههای داده و پلتفرمهای پرداخت مانند Stripe و PayPal را بازیابی کند.”
برخی دیگر از این خدمات هدفمند عبارتاند از SendGrid، Twilio، Nexmo، AWS، Mailgun، Plivo، ClickSend، Mandrill، Mailjet، MessageBird، Vonage، Exotel، OneSignal، Clickatell و TokBox.
هدف اصلی این بدافزار این است که عوامل تهدید را قادر سازد تا سرویسها را ربوده و زیرساختها را برای حملات بعدی، ازجمله ایجاد هرزنامههای انبوه و کمپینهای فرصتطلبانه فیشینگ، مسلح کنند.
این شرکت امنیت سایبری گفت که همچنین یک کانال یوتیوب حاوی ویدیوهای آموزشی در مورد نحوه استفاده از Legion کشف کرده است که نشان میدهد این ابزار بهطور گسترده توزیع شده است و احتمالاً یک بدافزار پولی است. کانال یوتیوبی که در ۱۵ ژوئن ۲۰۲۱ ایجاد شد، تا زمان نگارش این خبر همچنان فعال است.
علاوه بر این، Legion اعتبار [۴]AWS را از سرورهای وب ناامن یا پیکربندی نادرست بازیابی میکند و پیامهای هرزنامه SMS را به کاربران شبکههای تلفن همراه ایالاتمتحده مانند AT&T، Sprint، T-Mobile، Verizon و Virgin ارسال میکند.
Muir گفت: “برای انجام این کار، بدافزار کد منطقهای را که کاربر انتخاب میکند، از وبسایت www.randomphonenumbers.com بازیابی میکند. سپس از یک تابع تولید کننده اعداد ابتدایی برای ایجاد لیستی از شماره های تلفن مورد هدف استفاده میشود.”
یکی دیگر از جنبه های قابل توجه Legion توانایی آن در سوء استفاده از آسیب پذیری های شناخته شده PHP برای ثبت یک پوسته وب برای دسترسی از راه دور مداوم یا اجرای کدهای مخرب است.
منشأ عامل تهدید پشت این ابزار، که با نام مستعار “forzatools” در تلگرام استفاده میشود، ناشناخته باقی مانده است، اگرچه وجود نظرات اندونزیایی زبان در کد منبع نشان میدهد که این توسعه دهنده ممکن است اندونزیایی یا مستقر در این کشور باشد.
محقق امنیتی SentinelOne، Alex Delamotte به The Hacker News گفت: آخرین کشف برخی عملکردهای جدید را برجسته می کند که قبلاً در نمونه های AlienFox مشاهده نشده بود و این دو قطعه بدافزار دو مجموعه ابزار مجزا هستند.
Delamotte توضیح داد: “همپوشانی ویژگیهای زیادی وجود دارد، اما ابزارها بهطور مستقل توسعه مییابند و پیادهسازی متفاوت است. من معتقدم که بازیگران در حال تمرین شکل خود از هوش تجاری هستند، ویژگیهای توسعهیافته توسط مجموعه ابزارهای دیگر را مشاهده میکنند و ویژگیهای مشابه را در ابزارهای خود پیاده میکنند.”
Muir دراینباره گفت: «ازآنجاییکه این بدافزار بهشدت به پیکربندیهای نادرست در فنآوریها و چارچوبهای وب سرور مانند لاراول متکی است، توصیه میشود که کاربران این فرآیندهای امنیتی موجود خود را بررسی کنند و مطمئن شوند که secret ها بهدرستی ذخیره میشوند.»
منابع
[۱] https://www.cadosecurity.com/legion-an-aws-credential-harvester-and-smtp-hijacker
[۲] https://www.lacework.com/blog/androxghost-the-python-malware-exploiting-your-aws-keys
[۳] https://thehackernews.com/2023/03/alienfox-malware-targets-api-keys-and.html
[۴] https://permiso.io/blog/s/legion-mass-spam-attacks-in-aws
[۵] https://thehackernews.com/2023/04/new-python-based-legion-hacking-tool.html
ثبت ديدگاه